Strong Customer Authentication e negligenza rilevante dell’utente.



2 min read

Nota a ABF, Collegio di Roma, 5 aprile 2021, n. 9062.

di Antonio Zurlo

 

Con la decisione in oggetto, il Collegio romano dell’Arbitro Bancario Finanziario (ABF) osserva che le cinque operazioni contestate erano state regolarmente autenticate e contabilizzate, come comprovato dalla documentazione versata in atti da parte resistente. In particolare, il frodatore ha, in un primo momento, installato l’App dell’intermediario sul proprio smartphone, inserendo le credenziali statiche di accesso della ricorrente e i dati della sua carta, procurati previamente; dopodiché, ha attivato sull’App il certificato P**** ID, inserendo il codice OTP trasmesso al numero di cellulare della stessa ricorrente (corrispondente a quello indicato nella querela), attivando il codice P**** ID e impostando, poi, un PIN statico, utilizzato per autorizzare le successive operazioni.

Siffatta procedura di autenticazione è rispondente ai requisiti previsti dalla normativa vigente per potersi qualificare come autenticazione forte (ovverosia, Strong Customer Authentication), possedendo almeno (i necessari) due dei tre elementi previsti in materia, secondo quanto specificato dalla “Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2”, che considera il codice statico scelto dall’utente integrare un fattore di conoscenza, e l’utilizzo di una App previamente associata da uno specifico dispositivo come un fattore del possesso.

Ciò premesso, nel caso di specie, sono ricorse le seguenti circostanze: il terzo malfattore, per abilitare il codice di P**** ID sul proprio dispositivo come se fosse quello della ricorrente, ha necessariamente potuto procurarsi prima i dati relativi alle credenziali statiche di accesso della ricorrente e, poi, la password dinamica (c.d. “usa e getta”) comunicata tramite OTP; parte ricorrente dichiara di aver dato seguito alle indicazioni dapprima contenute nella schermata apparsa dopo aver effettuato l’accesso sul link contenuto nel messaggio civetta e, in seguito, fornitele telefonicamente dal sedicente operatore. Con precipuo riferimento alla prima fase della frode, si osserva che il messaggio civetta invitato dal mittente “Info” non risulta essersi inserito nello storico delle conversazioni genuine precedentemente intercorse con l’intermediario: non ricorrono, pertanto, gli estremi della più sofisticata fattispecie fraudolenta del c.d. SMS spoofed. Tali circostanze inducono a ritenere che il comportamento dell’utente-ricorrente appaia connotato da una negligenza rilevante, tale da poter essere qualificata alla stregua della colpa grave sia con riferimento al c.d. smishing, per aver cliccato sul link ricevuto, sia successivamente, con riferimento al c.d. vishing, per aver fornito telefonicamente le password dinamiche[1].

In conclusione, deve ravvisarsi in capo alla parte ricorrente una condotta gravemente negligente nella custodia dei codici di accesso, circostanza che implica la responsabilità dell’utente, ai sensi dell’art. 12, comma 3, D.lgs. n. 11/2010, e non consente di accogliere la richiesta di rimborso delle somme indebitamente sottratte.

 

Qui la decisione.


[1] Cfr. ABF, Collegio di Roma, n. 318/2021; ABF, Collegio di Roma, n. 20597/2020.

Iscriviti al nostro canale Telegram 👇

🔶Master executive di II livello in "Banking, Financial and Insurance Law"🔶

Ricerca avanzata


  • Categorie

  • Autori

  • Seleziona il periodo

Copy link
Powered by Social Snap